Frefox Datenausführungsverhinderung & totladen von Seiten

john.doe · 28.04.2009, 21:41

Lade das Programm

Code:

ATTFilter

C:\Users\Lex\Downloads\TrySolo.exe

bitte gemäß dieser Anleitung bei uns hoch. Kennst du das Programm?

ciao, andreas

Lex13 · 28.04.2009, 21:47

Mach ich.
Nöö sagt mir nicht wirklich was. Steht dabei, dass es ne Trial Version von Solo Antivirus 2009 ist.

john.doe · 28.04.2009, 21:49

Nach Upload löschen.

ciao, andreas

Lex13 · 28.04.2009, 21:54

Hmm also ich glaub irgendwas klappt mit dem upload nicht.
Ich habe es jetzt schon 2 mal versucht, aber bekomm ich sonst nicht immer ne "Bestätigung", dass es hochgeladen wurde?

john.doe · 28.04.2009, 22:10

Dann lasse sie bei VirusTotal - Free Online Virus and Malware Scan auswerten und poste das komplette Ergebnis inklusive Dateinamen und alle Prüfsummen.

ciao, andreas

Lex13 · 28.04.2009, 22:17

Hmm also hab übrigens doch die Logfile vom Dr. Web gefundne und mal hochgeladen.

Ähhhhhhm hat 12 min für 50,4 MB gedauert???
Hat das mit dem Upload geklappt?
Wie gesagt ich bekomm da keine Bestätigung.

Lex13 · 28.04.2009, 22:24

So habs bei Virus Total durchlaufen lassen. Hier das komplette Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.28 -
AhnLab-V3 5.0.0.2 2009.04.28 -
AntiVir 7.9.0.156 2009.04.28 -
Antiy-AVL 2.0.3.1 2009.04.28 -
Authentium 5.1.2.4 2009.04.27 -
Avast 4.8.1335.0 2009.04.28 -
AVG 8.5.0.287 2009.04.28 -
BitDefender 7.2 2009.04.28 -
CAT-QuickHeal 10.00 2009.04.28 -
ClamAV 0.94.1 2009.04.28 -
Comodo 1140 2009.04.28 Unclassified Malware
DrWeb 4.44.0.09170 2009.04.28 DLOADER.Trojan
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6480 2009.04.28 -
F-Prot 4.4.4.56 2009.04.27 -
F-Secure 8.0.14470.0 2009.04.28 -
Fortinet 3.117.0.0 2009.04.28 -
GData 19 2009.04.28 -
Ikarus T3.1.1.49.0 2009.04.28 -
K7AntiVirus 7.10.717 2009.04.27 -
Kaspersky 7.0.0.125 2009.04.28 -
McAfee 5599 2009.04.28 -
McAfee+Artemis 5599 2009.04.28 -
McAfee-GW-Edition 6.7.6 2009.04.28 -
Microsoft 1.4602 2009.04.28 -
NOD32 4040 2009.04.28 -
Norman 6.00.06 2009.04.28 -
nProtect 2009.1.8.0 2009.04.28 -
Panda 10.0.0.14 2009.04.28 -
PCTools 4.4.2.0 2009.04.28 -
Prevx1 3.0 2009.04.28 -
Rising 21.27.12.00 2009.04.28 -
Sophos 4.41.0 2009.04.28 -
Sunbelt 3.2.1858.2 2009.04.28 -
Symantec 1.4.4.12 2009.04.28 -
TheHacker 6.3.4.1.315 2009.04.28 -
TrendMicro 8.700.0.1004 2009.04.28 -
VBA32 3.12.10.3 2009.04.28 -
ViRobot 2009.4.28.1712 2009.04.28 -
VirusBuster 4.6.5.0 2009.04.28 -
weitere Informationen
File size: 3536056 bytes
MD5...: 7cf9c160fd7b783757fefe78b30e251d
SHA1..: b421f16e0431cbf57c087350048a8717bc36d493
SHA256: 22ba9cc606e959a68a1e62bd1d183a559f7ec656735d030cd26b06563247322d
SHA512: c31d144f8adc917745f02fc4ac719a8cbde54dad6cd40e62d9db22c0cbd9f863
dca1638d4374debd8313a082d8efa4cc4cf8e872c3cac89d6bf80345c6fe842e
ssdeep: 98304:MxyYruXgND7I7FFfOIU8beXS0LoXsVTRkKLUag2WTiAL:OyYiXKHI7/fOI
3QLG6xL1t2iAL

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9a54
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x916c 0x9200 6.56 f9c9dd3f4dceede0add0e7309253e897
DATA 0xb000 0x24c 0x400 2.73 4a56e30ca4646e6369d96abeacb0e6f0
BSS 0xc000 0xe48 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xd000 0x950 0xa00 4.43 bb5485bf968b970e5ea81292af2acdba
.tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366
.reloc 0x10000 0x8b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0x2a00 0x2a00 4.43 e4ac9159cf8c169f2efdbc52624d85d6

( 8 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
> kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA
> comctl32.dll: InitCommonControls
> advapi32.dll: AdjustTokenPrivileges

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set

john.doe · 28.04.2009, 22:25

Zitat:

Ähhhhhhm hat 12 min für 50,4 MB gedauert?

Was soll ich mit einem 50,4 MB Logfile?

Zitat:

Hat das mit dem Upload geklappt?

Nein. Versuche es nochmal, falls es wieder nicht klappt, dann lade sie bei einem Filehoster hoch und schicke mir den Link als PN.

ciao, andreas

Lex13 · 28.04.2009, 22:31

Das war die Logfile, das mir Dr. Web erstellt hat

Habs gerade nochmal mit dem Upload versucht. Kam aber nur wieder die Standard Trojaner Board Upload Seite.
Ich hab sowohl versucht sie aus dem von die angegebenen Pfad hochzuladen, als auch aus dem Dr. Web Quarantäne Ordner.

Lex13 · 28.04.2009, 23:03

So hab die jetzt bei Archiv.to hochgeladen.

Ciao Alex

john.doe · 28.04.2009, 23:11

Zitat:

Das war die Logfile, das mir Dr. Web erstellt hat

Ja und ich werfe jetzt doch einen Blick drauf. Finden sich ja recht interessante Dinge im Ordner

Zitat:

H:\Neuer Ordner\Treiber\Drivers\WirelessLANSetup

Der Jugendschutz verbietet hier weitere Einzelheiten.

Lies nochmal mein letztes Post. Die Datei hochladen und mir den Link als PN zuschicken.

ciao, andreas

p.s.: Bin zu müd um weiterzumachen. Lösche Trysolo. Den Rest erledigen wir morgen.

Lex13 · 29.04.2009, 11:54

Hey Andreas,

so TrySolo hab ich gelöscht. Sowohl aus C:\users\Lex\downloads\TrySolo.exe
als auch aus dem Quarantäneordner von Dr. Web.

Lex13 · 29.04.2009, 13:19

Was ist eigentlich mit der Datei C:\Windows\System32\acovnt.exe ?
Soll ich die auch löschen?
Die ist nämlich noch da. Oder was haben eure Programme dazu gesagt?

john.doe · 29.04.2009, 16:56

Die kannst du ruhig löschen, ist aber sinnlos, die kommt wieder, ist aber nicht wirklich schädlich.

ThreatExpert Report

Wenn du sie los sein möchtest, musst du nur einen der unzähligen Asus-Treiberchen entfernen, aber frage mich nicht welchen.

Einen noch, dann hast du es hinter dir. Wie geht es dem Rechner?

Überprüfe den Rechner mit PrevXCSI.

ciao, andreas

Lex13 · 30.04.2009, 00:34

Hi Andreas,

was passiert denn wenn ich das falsche Saus "Treiberchen" entferne?

Joa soweit gehts ihm würde ich mal sagen gut.
Also mittlerweile funktioniert meine Tastatur auch wieder einwandfrei. Die hatte nämlich vor deiner "Behandlung" extreme Aussetzer. Hat einfach Buchstaben weggelassen bzw. "verschluckt", dass ist aber jetzt vorbei.
Was mir als Einziges aufgefallen ist, dass er vor dem Uploadversuch von der Datei TrySolo schneller war. Also am Anfang der "Behandlung" ja nicht, wurde aber im Laufe dieser immer besser. Gestern hat er dann beim Upload wieder rumgesponnen (woran kann es eigentlich liegen, dass er TrySolo auf eurer Uploadseite nicht laden konnte? Hat davor bei verschiedenen Dateien doch hervorragend geklappt.)
Jetzt braucht er auch wieder nen bißchen länger - gerade wenn ich im Internet bin - als wie gesagt bspw. am Montag bzw. die Tage davor.

Also langsam zweifel ich doch schon sehr gewaltig an mir. Hab das Prevx 3.0 gerade runtergeladen und auf dem Desktop gespeichert. Aber immer wenn ich es ausführe kommt erstmal "Wird ihre Zustimmung benötigt".
Jaaaa ist klar, also "ok" drücken. Dann les ich mir die Terms & Conditions durch und setze den Haken auch da und drücke "weiter" bzw. "next", dann kommt in der Anzeige "Wait while installing..." und wieder die Aufforderung dies zu bestätigen. Mach ich auch fleißig, aber dann habe ich wieder die Startseite und es geht von Vorne los.
Also das Programm startet nicht.
Kann doch gar nicht sein.
Ich versuchs gleich nochmal als Administrator auszuführen.

Hat auch nicht geklappt. Soll ich in den Optionen den Haken bei "Randomize the installed filename of Prevx 3.0 to bypass certain infections" setzten?

Ciao Alex

Frefox Datenausführungsverhinderung & totladen von Seiten

Log-Analyse und Auswertung: Frefox Datenausführungsverhinderung & totladen von Seiten